Эксплойт написан на Javascript. Он запускается из HTML-фрейма, размещенного на зараженном сайте, и инжектирует шифрованную DLL-библиотеку прямо в работающий процесс Javaw.exe, пользуясь известной уязвимостью Java (CVE-2011-3544).

Вирус отключает сервис контроля пользовательских учетных записей в Windows и ждет команд от управляющего сервера. Одной из таких команд может быть установка трояна Lurk, крадущего данные с инфицированного ПК. Очистить память компьютера от вируса можно простым перезапуском системы, но с другой стороны, его распознавание антивирусами чрезвычайно затруднено.

Новшество данного вируса в том, что сам по себе он не делает ничего кроме незаметного для систем безопасности проникновения и создания черного входа для дальнейших атак на систему, полагают в «Лаборатории». По оценкам компании, число компьютеров, зараженных трояном Lurk, может достигать 300 тыс.